業務メールに見せかけた偽のメールを使って金銭を振り込ませる「ビジネスメール詐欺(BEC:Business E-mail Compromise)」の被害が増えている。被害に遭わないためには手口を知ることが何よりも有効だが、あまり知られていないのが実情だ。そこで本記事では、その巧みな手口を解説する。
1億ドル以上を振り込む事件も
ビジネスメール詐欺とは、取引先や上司などをかたった偽のメールを組織や企業の財務担当者に送付し、攻撃者の口座に金銭を振り込ませる詐欺のこと。
話題になり始めたのは2013年後半。2013年10月から2016年6月までに、米インターネット犯罪苦情センターに報告されたビジネスメール詐欺の被害件数は世界79カ国で2万2143件、被害総額は約31億ドル(約3400億円)に及ぶ。
特に、最近は被害が相次いで報じられている。例えば米フォーチューンによると、米グーグルと米フェイスブックは2013年から2015年にかけて、ビジネスメール詐欺により、合計1億ドル以上をだまし取られたという。
国内でも2017年2月、ビジネスメール詐欺によると思われる不正送金事件が発生。約580万円を詐取されたという。2017年4月には、ビジネスメール詐欺による収益とみられる約28億円を、国外の詐欺グループが国内でマネーロンダリング(資金洗浄)しようとした事件が摘発されている。
詐欺は“盗聴”から始める
ビジネスメール詐欺は、なりすましによるサイバー攻撃といえる。攻撃者がなりすます対象としては、(1)取引先の企業、(2)経営者、(3)弁護士や法律事務所などの権威のある第三者の3種類が挙げられる。
これらになりすました攻撃者は、企業の財務担当者に対していつもとは異なる口座への送金を指示し、金銭をだまし取る。例えば、取引先の企業をかたる場合の流れは次のようになる。
攻撃者はまず、2社の財務担当者がやり取りしているメールを盗聴する(図(1))。盗聴の方法は明らかにされていないが、ウイルス(マルウエア)を使うケースが多いと考えられる。
盗聴により、両社の担当者や請求に関する詳細がわかったら、まずは請求側(B社側)の担当者になりすまし、支払い側(A社側)に偽の口座を伝え、金銭を振り込ませる(同(2))。
攻撃者はA社の担当者にもなりすまし、支払いの事実関係を確認中なのでもう少し待ってほしいとB社の担当者に伝える(同(3))。B社担当者がA社担当者に電話などで確認しないようにさせるためだ。これにより、詐欺の発覚を遅らせる。
情報処理推進機構(IPA)に報告があった事例では、攻撃者はA社担当者に対して、ほかの請求についても前倒しで支払うよう要求し、より多くの金銭を詐取しようと画策したという(同(4))。
